Punto Net Tech

Punto Net Tech
Servicios Corporativos de Ciberseguridad - IT - DBA

miércoles, 7 de septiembre de 2016

RANSOMWARE - PARTE V - RECOMENDACIONES A EMPRESAS

Introducción
El día 30/08 publicamos la Parte IV de la saga de artículos sobre Ransomware (pueden encontrarlo aquí), en este comentábamos de manera global como pueden evitar ser víctimas del malware Ransomware, que sigue afectando a gran parte de los que usan tecnología. 
De manera resumida, el atacante les hace llegar un correo o Uds visitan un sitio web engañados, y bajan este software malicioso, que cifra la información y la única manera de recuperar la misma, si no han sido cuidadosos, es con un backup o pagando los bitcoins.

En esta entrega vamos a hacer foco en redes corporativas y vamos a tomar acciones para que los equipos que usan la red, sin importar lo que haga el usuario, no se infecte de ransomware.

Análisis de Infraestructura Clásica
Analizando los esquemas de red de las empresas u organizaciones, encontramos situaciones similares a la siguiente (el nivel de madurez depende de la organización, pero en gran medida, esta es la configuración general):

1) Red con servicios de Microsoft Active Directory (se convertirá en nuestro mejor aliado).
2) Los equipos (PC y Servidores) con un anti-malware instalado. (sin ajustar correctamente).
3) Acceso a Internet sin filtros especiales o con configuraciones básicas.
4) Un servidor de correo, y eventualmente un antispam.
5) PCs unidas al dominio, en gran parte sin actualizar y donde los usuarios son administradores locales. A su vez, los usuarios poseen unidades mapeadas en el File Server u otro server requerido.
6) Un File Server con carpetas compartidas para los usuarios  de la red (los permisos en gran parte configurados en el recursos compartido) y algunas restricciones a nivel NTFS. 
7) Backup que se ejecutan únicamente a la noche.

Manos a la obra...
Vamos analizar cada uno de los puntos mencionados anteriormente y vamos a hacer ajustes para mitigar los problemas de seguridad para evitar una infección de ransomware.

1) Servicios de Microsoft  Active Directory
La mayoría de las organizaciones utilizan este servicio de directorio con el fin de administrar de manera centralizada USUARIOS y EQUIPOS. Pues bien, hagásmolo!.  Si no queremos ser víctima de software maliciosos en nuestros equipos, el servicio de Active Directory es nuestro principal aliado. Ajustes que podemos realizar desde este servicio que impactará en las PCs (Personal Computer, notebook, ultrabook, All-in-one, etc) y evitará problemas de seguridad.

1.1) Usuarios sin permiso de administrador local: Si bien es un cambio que el administrador de la plataforma se rehusa hacer por los ajustes y pruebas que deberá someter ha ciertos perfiles de PCs y Usuarios, (existen aún aplicaciones propias o de terceros que requieren permisos elevados para funcionar), es una manera de evitar que el usuario con/sin conocimiento instale aplicaciones en la PCs. Desde el Servicio de Directorio podemos crear diferentes GPO (Group Policy Object), una de ellas es configurando algunas acciones de restricción en la PCs local, por ejemplo

a) El usuario no pertenece al grupo de administrador local de la PC, solo a los grupos globales y de seguridad del dominio.
b) La contraseña de la cuenta administrador local (puede renombrarse esta cuenta también por GPO) es definida desde políticas de dominio y el usuario la desconoce.

1.2) Restricción de ejecución de aplicaciones: Una de las características que más me gustó en el lanzamiento de MS Windows 7 / 2008 R2, fue la aparición del APPLOCKER. Esta funcionalidad, que puede administrarse perfectamente por GPO, permite al administrador de la plataforma definir que aplicaciones pueden usarse en cada equipo, más allá de todo lo que tenga instalado en la misma. Suponiendo que el usuario de contabilidad requiere aplicaciones contables de 16 bits, MS Office, Aplicativos Web y otras herramientas (ZIP, Trustee, etc) se pueden definir en la GPO que puede ejecutar dicho usuario, teniendo en cuenta los siguientes puntos:

a) Hacer un relevamiento por perfiles, de que aplicaciones requieren ejecutar los diferentes usuarios.
b) Homologar el software de la compañía (Se recomienda armar un catálogo de softwares validados por la empresa). El personal de la Mesa de Ayuda se pondrá feliz, porque ya no tendrá que dar soporte a softwares que no estén catalogados y el Area Legal por que estarán seguros que solo usarán el software correctamente licenciado/adquirido por la compañia.
c) Hacer una GPO en donde se defina que aplicaciones podrán utilizar los usuarios, dependiendo de un perfil ejemplo o definido para pruebas.
d) Implementar la GPO en un ambiente de prueba previamente. El usuario no debe ser administrador local de la PC pero si tener los permisos necesarios para ejecutar las aplicaciones que se le desea dar acceso. La GPO en la configuración del APPLOCKER puede ajustarse por
  • Ubicación de los archivos válidos que deberán ser ejecutados por el usuario (Path del disco). Ideal para aplicaciones que no se instalan o son de terceros.
  • Hash del archivo, el sistema calcula un hash criptográfico del archivo identificado.
  • Publicador del archivo, quien es el fabricante, versiones del software, etc.
En los escenarios de prueba en donde estuvimos evaluando el APPLOCKER, donde el usuario no es administrador local, observamos en el log del antivirus y del S.O, como el Ransomware quería ejecutarse e intentar crear directorios para cifrar la aplicación, pero el S.O. le daba acceso denegado.
El administrador puede generar una GPO para auditar el comportamiento del usuario en la PCs y si observa el intento de ejecución de una aplicación maliciosa saldrá a la luz para que el mismo tome acciones correspondientes.

1.3) Unidades mapeadas: este clásico que viene repitiéndose desde Microsoft NT 4.0 SP6a, permite que el Ransomware observe la unidad mapeada en la PCs a infectar como unidad local y termine cifrando toda la unidad (mas allá que sea una unidad compartida de un servidor o file server). Si los usuarios no poseen unidades mapeadas y de alguna manera las carpetas compartidas de la red están ofuscadas y con los permisos ajustados, el Ransomware podría llegar solo afectar a la PCs pero no al File Server. 
Uds mientras lee estas lineas, se preguntan cómo podrían eliminar las unidades mapeadas, bueno, he aquí dos opciones

  • Microsoft DFS (Sistema de Archivos Distribuidos): en vez de compartir y dar acceso a los usuarios con el clásico Share Folder o Carpeta Compartida y mapear la unidad, se configura en el servidor que posee el rol de File Server (no requiere licencias adicionales para esto) el servicio de DFS. Esto permitirá que los usuarios en vez de acceder al recurso \\nombredelserver\carpetacompartida y esté mapeada de esa manera con una letra del abecedario, los usuarios accederían a \\nombredeldominio\carpetafileserver, por ejemplo para el dominio ACME.LOCAL, sería \\acme.local\carpetafileserver. Además, como valor agregado que posee este servicio, puede incorporar un servidor adicional con el rol de File Server y todos los archivos que se generen en el servidor principal, serían replicados como contingencia y backup al servidor secundario gracias al DFS.
  • Microsoft SharePoint Foundations(*): Uds pueden bajar desde Microsoft el Ms SharePoint Foundations 2013 y generando una base de SQL Express (o uniendo la plataforma a un servidor de SQL Server existente en la red) una base de datos en donde se alojarían todos los archivos que se suban a la Biblioteca de SharePoint. Dentro del valor agregado que hoy NO tiene con el File Server tenemos (son los más fáciles de implementar y de manera rápida) :
    • Subir archivos a un repositorio con permisos definidos y seguros.
    • Configurar versionado de archivos, permitiendo al usuario recuperar hasta cierta cantidad de archivos modificados (esto es configurable por al administrador de la plataforma).
    • Crear workflows para notificar a los usuarios cuando se suben nuevas actualizaciones de archivos o nuevos.
    • No mandar mas archivos por e-mails, se envía la URL de la ubicacion de los mismos en el SharePoint.
    • Simplifica el backup (backup de la base de datos MS SQL SERVER).
    • Configurar réplica de archivos en otro servidor de SharePoint configurado dentro de la Farm o granja.
    • Proteger los archivos del ransomware.
    • Crear Workflows para alojar cierto tipos de archivos en bibliotecas según como sea etiquetado.
    • Obtener portabilidad del File Server (podrá accederlo desde la mayoría de los navegadores y desde la mayoría de los dispositivos de red)
            Aquí debe ser dimensionado correctamente el crecimiento de la base, según el volumen de archivos que se van a subir al SharePoint. Por otro lado, los ransomware no matan el proceso de SQL Server como servicio, por lo cual, la base de SQL no deja de estar tomada por el servicio y por ello el malware no puede cifrar la misma.  Por otro lado SharePoint le permitirá ir capacitando a los usuarios para que el próximo paso de uso de los archivos sea la nube, con aplicaciones como Office 365.

2) Anti-Malware
Todos los equipos de la red deben tener algún tipo de protección. Se recomienda verificar que extensiones poseen los ransomwares y desde la consola centralizada denegar la generación de esos archivos. Si bien hay extensiones que son similares de archivos que puedan utilizar un usuario, verificar el perfil del usuario/ordenador y aplicar las restricciones posibles.
Mantener el "antivirus" actualizado es fundamental y si el mismo posee la funcionalidad de denegar ciertos comportamientos, se recomienda aplicarlos (Ej: crear directorios en ciertas ubicaciones, ziperar archivos, etc). Si desea verificar la lista de extensiones, les recomendamos acceder a este archivo excel. INGRESE AQUI.

3) Acceso a Internet
En menor medida, los ransomware pueden ser bajados desde Internet por los usuarios si acceden a sitios de dudosa reputación. Lo que se recomienda para estos casos es:
  • Implementar una solución de proxy que tenga definidos grupos con niveles de permisos.
  • Dependiendo los grupos a los cuales pertenece el usuario, será el nivel de acceso a Internet. Debe ir de mas restrictivo a menos restrictivo. 
  • Verificar y monitorear los accesos a Internet.
  • Preferiblemente (y para no estar como el caballo detrás de la zanahoria bloqueando sitios en la consola del proxy) contar con una solución que tenga un URL Filtering (filtrado por categorías) y Antivirus.  El filtrado provisto por la mayoría de los fabricantes es eficiente y puede en un solo tilde de selección en una consola prohibir todos los sitios que hacen referencia a una categoria (Ej: pornografía, o streamming como radios y peliculas). De esta manera protege el acceso a Internet como también lo optimiza mejorando el consumo del ancho de banda.
Ciertos Ransomwares, al abrir el correo de phishing que reciben los usuarios, si el usuario quiere visitar el sitio Web, bajan a cuenta gotas el malware. Si posee un proxy con URL Filtering esto puede ser evitado.

4) Antispam / Antivirus de correo
Hoy lo más cómodo es llevar el correo a la nube, pero hay organizaciones que aún usan el servicio de correo on-premise. La mayoría de los ransomware se distribuyen por correo electrónico en modalidad phishing y haciendo uso de Ingeniería Social (es decir, Uds recibe un correo de alguien que se hace pasar por un conocido que le manda un archivo o link adjunto para que lo acceda).
Pues bien, en el caso de tener un servicio on-premise de correo, es recomendado contar con una solución de antispam que filtre los correos de dudosa reputación. Algo que es simple de aplicar y la mayoría de los servidores de correo permiten configurar, es el rechazo de correos cuando no corresponde el PTR o DNS inverso (es decir validan el dominio para verificar si es correcto y la IP no se corresponde al dominio original).
Capacitar a los usuarios es una opción a tener en cuenta para que no abran cualquier tipo de correo.

5) Plataformas Actualizada
Todas las plataformas son susceptibles a infección de ransomware si no están correctamente ajustadas. Los fabricantes están todo el tiempo lanzando actualizaciones, es por ello que deben contar con procedimientos de actualización regulares para las diferentes plataformas.
En el caso de Microsoft, Uds cuenta con una solución como el WSUS que permite a los administradores de tecnología implementar las actualizaciones de manera centralizada de los productos Microsoft. Si bien se recomienda actualizar todos las soluciones que se utilicen en la plataforma, aquellas actualizaciones que no puedan realizarse por el WSUS, pueden hacerse utilizando el servicio de Ms Active Directory, creando paquetes msi.
En la plataforma Uds deberá contar con un servidor que tenga el servicio de WSUS implementado y eventualmente un empaquetador de actualizaciones que genere archivos msi para desplegar por GPO.

6) Backup
Un concepto que observo que se evalúa poco, es la importancia que tiene la información del negocio para la compañía y esto sale a flote cuando un ransomware ha cifrado la información y el backup que poseen no sirve y eventualmente pierden archivos. En el análisis resulta mas barato pagar lo que piden por la captura del ransomware que perder el archivo.
Recomendamos para estos casos:
  • Hacer un relevamiento de la información sensible e importante para los procesos de negocio.
  • Verificar los niveles de actualización de la información distribuida.
  • Consultar a los dueños de los procesos de negocio que tiempo de ausencia o el no acceso a la información es el permitido por el proceso, en el caso de una contingencia.
  • Ajustar la solución de backup para que se alinea a las necesidades del proceso de negocio.
  • Mantener versionado, no un solo backup.
  • Hacer pruebas de restauración.
  • Controlar, controlar, controlar......
Por otro lado, no hay que hacer solo backup a la información, si no pensar en los resguardos de los servicios o servidores que forman parte en los procesos de negocio de la compañía. Si se infecta una plataforma, ¿Cuánto es lo máximo que puede llegar a perder? ¿Cómo impacta en la imagen de la compañía? ¿Cómo queda parado ante la competencia? ¿Hay regulaciones legales que cumplir?

El análisis debe ser realizado y cualquier ajuste que se requiera hacer, va ser siempre mas barato que la pérdida de información o ausencia del proceso de negocio. Por ejemplo, en EEUU, las entidades de salud que ha sido víctima de ransomware, deben denunciarlo ante la entidad de salud. Esto está regulado por HIPAA. Si desean acceder a la guía, ingrese AQUI.
Capacitación
Dentro de nuestro plan de concientización generamos estos contenidos para que Uds los difundan. Ahora bien, estos contenidos también tienen que llegar a miles de usuarios que usan tecnología y desconocen las amenazas que están en la puerta de acceso a Internet. 
Obviamente este artículo es demasiado técnico, pero si Uds repara en las versiones desde la Parte I a la Parte IV de esta saga, son contenidos preparados para que puedan ser difundidos a los usuarios de tecnología.
Es importante concientizar!!. En los diferentes eventos, cuando se pregunta al público sobre las acciones antes las barreras de protección que poseen los diferentes S.O, todos responden lo mismo "... lo desactivan por que es más fácil el uso...". El engaño y fraude van de la mano en la tecnología y no es la primera vez, ya hay otras amenazas mas antiguas que lo han utilizado. (Vea PARTE II).
Estos contenidos pueden ser divulgados siempre y cuando mencionen la fuente.

Resumiendo
Si ha llegado hasta aquí leyendo este artículo, podrá observar que protegernos del ransomware no requiere una inversión en aplicaciones de seguridad, si no mas bien aplicar buenas practicas y aprovechar todos los servicios que los S.O. hoy ofrecen. En el caso de Microsoft, las soluciones mencionadas no requieren una erogación de dinero extra y permite madurar/ordenar su plataforma.
Hoy el ransomware está provocando pérdidas importantes en organizaciones que no cuentan con cierto tipo de ajustes y pensar que solo el antimalware (antivirus) va a protegernos es un grave error.
Este artículo es un resumen de las conferencias que venimos ofreciendo para concientizar a las compañías con el fin de dejen de ser víctimas de esta estafa.
Pueden agregarse otras configuraciones adicionales, seguramente, pero con esta configuración la plataforma pasa a un esquema de ambiente seguro o con un riesgo bajo o aceptable. Va a depender hasta donde quieran madurar en la organización, ya que lo ideal hoy es subir la información de los procesos de negocio a Cloud y eso requiere también de madurez del negocio.

En el Sitio de Microsoft, van a encontrar diferentes asistentes o ayudas muy detalladas para configurar las opciones mencionadas anteriormente. Pueden buscar en Channel 9 videos e instructivos desarrollados por MVP, con paso a paso para que no fallen en la configuración.

Importante
Generar conciencia del uso de la tecnología....
Cambiar la forma de hacer la cosas...

Hasta la próxima.


(*) Primeros dias de octubre sale una nueva versión de Ransomware Cerberus,  que cifra las bases de datos por que posee la posibilidad de parar los servicios de los motores de bases de datos. Esto podrá realizarlo siempre y cuando tengas los permisos. Si bien la versión anterior tenia la posibilidad de hacerlo, en esta nueva versión, puede llegar a reiniciar el servidor para cifrar la base.

Proteccion contra el Ransomware - evento 21/09

Este evento está destinado a entender como funciona el malware que secuestra la información y pide rescate por ella. No hace falta contar con conocimientos avanzados en tecnología, y al finalizar le permitirá tomar acciones con el fin de no infectarse.
Para las empresas que asistan, el evento les permitirá observar como las plataformas Microsoft actuales, con ciertos ajustes ya quedan protegidas del ransomware.

Por otro lado, ponemos a disposición la presentacion 100% técnica donde hay laboratorios de Ransomware, análisis de los más comunes, como remover el ransomware y como protegerse en un ambiente corporativo. Contáctenos.

Hasta la próxima.